信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求

引言

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安仝保護(hù)條例》（國務(wù)院令第147號）明確規(guī)定我國“計(jì)算機(jī)信息系統(tǒng)

實(shí)行安全等級保護(hù)依據(jù)國務(wù)院147號令要求制訂發(fā)布的強(qiáng)制性國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)

等級劃分準(zhǔn)則》（GB17859—1999）為計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級的劃分奠定了技術(shù)基礎(chǔ)?！秶倚?/p>

息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)［2003］27號）明確指出實(shí)行信息安全等級

保護(hù)，''要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊

建立信息安全等級保護(hù)制度《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字［2004］66號）和《

信息安全等級保護(hù)管理辦法》（公通字［2007］43號）確定「實(shí)施信息安全等級保護(hù)制度的原則、工作職

責(zé)劃分、實(shí)施要求和實(shí)施計(jì)劃，明確了開展信息安全等級保護(hù)工作的基本內(nèi)容、工作流程、工作方法

等。

上述信息安全等級保護(hù)相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)的出臺，為信息安全等級保護(hù)

工作的開展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。

2007年7月全國開展重要信息系統(tǒng)等級保護(hù)定級工作，標(biāo)志著信息安全等級保護(hù)工作在我國全面展開。在

開展信息安全等級保護(hù)定級和備案工作基礎(chǔ)上，各單位、各部門正在按照信息安全等級保護(hù)有關(guān)政

策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范，開展信息系統(tǒng)安全建設(shè)和加固工作，建立、健全信息安全管理制度，落實(shí)安

全保護(hù)技術(shù)措施，全面貫徹落實(shí)信息安全等級保護(hù)制度。為了配合信息系統(tǒng)安全建設(shè)和加固工作，特制

訂本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)規(guī)范了信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求，包括第一級至第五級系統(tǒng)安全保護(hù)環(huán)

境的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等方面的設(shè)計(jì)技術(shù)要求，以及定級系

統(tǒng)互聯(lián)的設(shè)計(jì)技術(shù)要求。涉及物理安全、安全管理、安全運(yùn)維等方面的要求分別參見參考文獻(xiàn)［9］、

［2］、［7］、［10］等。進(jìn)行安全技術(shù)設(shè)計(jì)時(shí)，要根據(jù)信息系統(tǒng)定級情況，確定相應(yīng)安全策略，采

取相應(yīng)級別的安全保護(hù)措施。

在第五章至第九章中，每一?級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)比較低一級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)所增加和增強(qiáng)

的部分，用“黑體”表示。

信息安全技術(shù)

信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求

1范圍

本標(biāo)準(zhǔn)依據(jù)國家信息安全等級保護(hù)的要求，規(guī)范了信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求。

本標(biāo)準(zhǔn)適用丁?指導(dǎo)信息系統(tǒng)運(yùn)營使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)開展信息系統(tǒng)等級保護(hù)安全

技術(shù)方案的設(shè)計(jì)和實(shí)施，也可作為信息安全職能部門進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注口期的引用文件，其隨后所有的修

改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是

否可使用這些文件的最新版本。凡是不注口期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

3術(shù)語和定義

GB17859-1999確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

定級系統(tǒng)classifiedsystem

按照參考文獻(xiàn)［11］已確定安全保護(hù)等級的信息系統(tǒng)。定級系統(tǒng)分為第一級、第二級、第三級、笫四級和第五

級信息系統(tǒng)。

3.2

定級系統(tǒng)安全保護(hù)環(huán)境securityenvironmentofclassifiedsystem

山安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成的對定級系統(tǒng)進(jìn)行安全保護(hù)的

環(huán)境。

定級系統(tǒng)安全保護(hù)環(huán)境包括第級系統(tǒng)安全保護(hù)環(huán)境、第二級系垸安全保護(hù)環(huán)境、第三級系統(tǒng)安全保護(hù)環(huán)

境、笫四級系統(tǒng)安全保護(hù)環(huán)境、笫五級系統(tǒng)安全保護(hù)環(huán)境以及定級系統(tǒng)的安全互聯(lián)。

3.3

安全計(jì)算環(huán)境securecomputingenvironment對定級系統(tǒng)的信息進(jìn)行存儲、處理及實(shí)施安全策略的相關(guān)

部件。安全計(jì)算環(huán)境按照保護(hù)能力劃分為第一級安全計(jì)算環(huán)境、第二級安全計(jì)算環(huán)境、第三級安全

計(jì)算環(huán)境、第四級安全計(jì)算環(huán)境和第五級安全計(jì)算環(huán)境。

3.4

安全區(qū)域邊界secureareaboundary

對定級系統(tǒng)的安全計(jì)算環(huán)境邊界，以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并實(shí)施安全策略的相關(guān)

部件。

安全區(qū)域邊界按照保護(hù)能力劃分為第一級安全區(qū)域邊界、第二級安全區(qū)域邊界、第三級安全區(qū)域邊界、第

四級安全區(qū)域邊界和第五級安全區(qū)域邊界。

3.5

安全通信網(wǎng)絡(luò)securecommunicationnetwork

對定級系統(tǒng)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的相大部件。

安全通信網(wǎng)絡(luò)按照保護(hù)能力劃分第一級安全通信網(wǎng)絡(luò)、第二級安全通信網(wǎng)絡(luò)、笫三級安全通信網(wǎng)絡(luò)、第四

級安全通信網(wǎng)絡(luò)和第五級安全通信網(wǎng)絡(luò)。

3.6

安全管理中心securitymanagementcenter

對定級系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺。

第二級及第二級以上的定級系統(tǒng)安全保護(hù)環(huán)境需要設(shè)置安全管理中心，稱為第二級安全管理中心、第三級

安全管理中心、第四級安全管理中心和第五級安全管理中心。

3.7

跨定級系統(tǒng)安全管理中心securitymanagementcenterforcrossclassifiedsystem躋定級系統(tǒng)安全管理

中心是對相同或不同等級的定級系統(tǒng)之間互聯(lián)的安全策略及安全4聯(lián)部件上的安全機(jī)制實(shí)施統(tǒng)一管

理的平臺。

3.8

定級系統(tǒng)互聯(lián)classifiedsysteminterconnection

通過安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心實(shí)現(xiàn)的相同或不同等級的定級系統(tǒng)安全保護(hù)環(huán)境之間的安全

連接。

4信息系統(tǒng)等級保護(hù)女全技術(shù)設(shè)計(jì)概述

信息系統(tǒng)等級保護(hù)安全技術(shù)設(shè)計(jì)包括各級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)及其安全互聯(lián)的設(shè)計(jì)，如圖1所示。

各級系統(tǒng)安全保護(hù)環(huán)境由相應(yīng)級別的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理

中心組成。定級系統(tǒng)互聯(lián)由安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心組成。

本標(biāo)準(zhǔn)以下電節(jié),對圖1各個(gè)部分提出了相應(yīng)的設(shè)計(jì)技術(shù)要求（第玉力信息安全保護(hù)環(huán)境的設(shè)計(jì)要求除

c）用戶數(shù)據(jù)完整性保護(hù)

可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。

d）惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，井定期進(jìn)行升級和更新，以防范和清除惡意

代碼。

5.3.2安全區(qū)域邊界設(shè)計(jì)吱術(shù)要求

第一級安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：

a）區(qū)域邊界包過濾

可根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)等，確定

是否允許該數(shù)據(jù)包通過該區(qū)域邊界。

b）區(qū)域邊界惡意代碼防范

可在安全區(qū)域邊界設(shè)置防惡意代碼軟件，并定期進(jìn)行升級和更新，以防止惡意代碼入侵。

5.3.3安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求

a）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)

可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾?，并能發(fā)現(xiàn)其完整性被破壞。

6第二級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)

6.1設(shè)計(jì)目標(biāo)

第二級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對第二級系統(tǒng)的安全保護(hù)要求，在第一級系

統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)匕增加系統(tǒng)安全審計(jì)、客體重用等安全功能，并實(shí)施以用戶為基本粒度的

自主訪問控制，使系統(tǒng)具有更強(qiáng)的自主安全保護(hù)能力。

6.2設(shè)計(jì)策略

第二級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GB17859-1999的4.2中相關(guān)要求，以身份鑒別為基礎(chǔ),

提供單個(gè)用戶和（或）用戶組對共享文件、數(shù)據(jù)庫表等的自主訪問控制；以包過濾手段提供區(qū)域邊界

保護(hù)：以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段，同時(shí)通過增加系院安全審計(jì)、客體安全重用等功能，使用

戶對自己的行為負(fù)責(zé)，提供用戶數(shù)據(jù)保存性和完整性保護(hù)，以增強(qiáng)系統(tǒng)的安全保護(hù)能力。

第二級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過第二級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理

中心的設(shè)計(jì)加以實(shí)現(xiàn)。

6.3設(shè)計(jì)技術(shù)要求

6.3.1安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

第二級安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì)：

a）用戶身份鑒別

應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并

確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受控的口令或具有相應(yīng)

安全強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。

b）自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或全

部授予其他用戶。訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。訪問操作包括

對客體的創(chuàng)建、讀、寫、修改和刪除等。

c）系統(tǒng)安全審訂

應(yīng)提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)

果等內(nèi)容。該機(jī)制應(yīng)提供審計(jì)i己錄查詢、分類和存儲保護(hù)，井可由安全管理中心管理。

d）用戶數(shù)據(jù)完整性保護(hù)

可采用常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞。

e）用戶數(shù)據(jù)保密性保護(hù)

可采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中存儲和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。

f）客體安全重用

應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這

些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露。

g）惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級和更新，以防范和清除惡意

代碼。

6.3.2安全區(qū)域邊界設(shè)計(jì)技術(shù)要求

第二級安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：

a）區(qū)域邊界包過濾

應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)等，確定

是否允許該數(shù)據(jù)包通過該區(qū)域邊界。

b）區(qū)域邊界安全審計(jì)

應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，并由安全管理中心統(tǒng)一管理。

c）區(qū)域邊界惡意代碼防范

應(yīng)在安全區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由安全管理中心管理

d）區(qū)域邊界完整性保護(hù)

應(yīng)在區(qū)域邊界設(shè)置探測器，探測非法外聯(lián)等行為，并及時(shí)報(bào)告安全管理中心。

6.3.3安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求

第二級安全通信網(wǎng)絡(luò)從以下方面進(jìn)行安全設(shè)計(jì)：

a）通信網(wǎng)絡(luò)安全審計(jì)

應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心管理。

b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)

可采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)。

c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)

可采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。

6.3.4安全管理中心設(shè)計(jì)吱術(shù)要求

6.3.4.1系統(tǒng)管理

可通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份和授權(quán)管理.、系統(tǒng)資源

配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)以及惡意代碼防范等。

應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)

行審計(jì)。

6.3.4.2審計(jì)管理

可通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略

對審計(jì)記耒進(jìn)行分關(guān)：提供按時(shí)間段開啟和關(guān)I田相應(yīng)關(guān)型的安全審II機(jī)制：對各關(guān)審計(jì)記錄進(jìn)行存儲、

管理和杏詢等。

應(yīng)對安全審計(jì)員進(jìn)行身份鑒別，并只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作。

7第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)

7.1設(shè)計(jì)目標(biāo)

第三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對第三級系統(tǒng)的安全保護(hù)要求，在第二

級系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)匕通過實(shí)現(xiàn)基于安全策略模型和標(biāo)記的強(qiáng)制訪問控制以及增強(qiáng)系統(tǒng)的審計(jì)

機(jī)制，使系統(tǒng)具有在統(tǒng)一安全策略管控下，保護(hù)敏感資源的能力。

7.2設(shè)計(jì)策略

第三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：在第：級系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上，遵循GB17859-1999

的4.3中相關(guān)要求，構(gòu)造非形式化的安全策略模型，對主、客體進(jìn)行安全標(biāo)記，表明主、客體的級別分

類和非級別分類的組合，以此為基礎(chǔ)，按照強(qiáng)制訪問控制規(guī)則實(shí)現(xiàn)對主體及其客體的訪問控制。

第三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過第三級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理

中心的設(shè)計(jì)加以實(shí)現(xiàn)。

7.3設(shè)計(jì)技術(shù)要求

7.3.1安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

第三級安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì)：

a）用戶身份鑒別

應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并

確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受安全管理中心控制的

U令、令牌、基于生物特征、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行

用戶身份鑒別，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。

b）自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限的部分或企

部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或〉記

錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

c）標(biāo)記和強(qiáng)制訪問控制

在對安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)匕應(yīng)由安全管理員通過特定操作界面對主、客體進(jìn)行安

全標(biāo)記；應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則，對確定主體訪問客體的操作進(jìn)行控制。強(qiáng)制訪問控制

主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應(yīng)輸保安全計(jì)算環(huán)境內(nèi)的所有■主、客體具有

一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問控制規(guī)則。

d）系統(tǒng)安全審計(jì)

應(yīng)記錄系統(tǒng)的相關(guān)次全事件。審計(jì)記錄包括次全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審

計(jì)記錄查詢、分類、分析和存儲保護(hù)；能對特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非投

權(quán)訪問。應(yīng)為安全管理中心提供接口：對不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接

口。

e）用戶數(shù)據(jù)完整性保護(hù)

應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被

破壞，且在其受到破壞時(shí)能對重要數(shù)據(jù)進(jìn)行恢復(fù)。

f）用戶數(shù)據(jù)保密性保護(hù)

采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中存儲和處理的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。

g）客體安全重用

應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，

在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露。

h）程序可信執(zhí)行保護(hù)

可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼

等攻擊，并在檢測到其完整性受到破壞時(shí)采取措施恢發(fā)，例如采用可信計(jì)算等技術(shù)。

7.3.2安全區(qū)域邊界設(shè)計(jì)吱術(shù)要求

第三級安全區(qū)域邊界從以卜.方面進(jìn)行安全設(shè)計(jì)：

a）區(qū)域邊界訪問控制

應(yīng)在安全區(qū)域邊界設(shè)置自主和強(qiáng)制訪問控制機(jī)制，實(shí)施相應(yīng)的訪問控制策略，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)

信息進(jìn)行控制，阻止非授權(quán)訪問。

b）區(qū)域邊界包過濾

應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定

是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。

c）區(qū)域邊界安全審計(jì)

應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為及時(shí)報(bào)警。

d）區(qū)域邊界完整性保護(hù)

應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時(shí)報(bào)告安全管理中心。

7.3.3安全通信網(wǎng)絡(luò)設(shè)計(jì)吱術(shù)要求

第三級安全通信網(wǎng)絡(luò)從以下方面進(jìn)行安全設(shè)計(jì)：

a）通信網(wǎng)絡(luò)安全審計(jì)

應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，山安全管理中心集中管理，并對確認(rèn)的違規(guī)行為進(jìn)行報(bào)警。

b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)

應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)，并在發(fā)現(xiàn)完整性被破

壞時(shí)進(jìn)行恢復(fù)。

c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)

采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。

d）通信網(wǎng)絡(luò)可信接入保護(hù)

可采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通

信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。

7.3.4安全管理中心設(shè)計(jì)枝術(shù)要求

7.3.4.1系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置.、

系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理以及支持笥理本地和（或）異地災(zāi)難備

份與恢復(fù)等。

應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)

行審計(jì)。

7.3.4.2安全管理

應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對主體進(jìn)行授權(quán)，配置一致的安全策略。

應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。

7.34.3審3-管理

應(yīng)通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略

對審計(jì)記錄進(jìn)行分類：提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對各類審計(jì)記錄進(jìn)行存儲、

管理和查詢等。對審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理。

應(yīng)對安全審計(jì)員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操。

8第四級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)

8.1設(shè)計(jì)目標(biāo)

第四級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對第四級系統(tǒng)的安全保護(hù)要求，建立一

個(gè)明確定義的形式化安全策略模型，將自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體，相應(yīng)增強(qiáng)其他安全

功能強(qiáng)度：將系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，以使系統(tǒng)具有抗?jié)B透的能

力。

8.2設(shè)計(jì)策略

第四級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)策略是：在第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)的基礎(chǔ)上，遵循GB

17859-1999的4.4中相關(guān)要求，通過安全管理中心明確定義和維護(hù)形式化的安全策略模型。依據(jù)該模型，

采用

對系統(tǒng)內(nèi)的所有主、客體進(jìn)行標(biāo)記的手段，實(shí)現(xiàn)所有主體與客體的強(qiáng)制訪問控制。同時(shí)，相應(yīng)增強(qiáng)身

份鑒別、審計(jì)、安全管理等功能，定義安全部件之間接口的途徑，實(shí)現(xiàn)系統(tǒng)安全保護(hù)環(huán)境關(guān)鍵保護(hù)部件

和非關(guān)鍵保護(hù)部件的區(qū)分，并進(jìn)行測試和審核，保障安全功能的有效性。

第四級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過第四級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全臂理

中心的設(shè)計(jì)加以實(shí)現(xiàn)。

8.3設(shè)計(jì)技術(shù)要求

8.3.1安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

第四級安全計(jì)算環(huán)境從以下方面進(jìn)行安全設(shè)計(jì)：

a）用戶身份鑒別

應(yīng)支持用戶標(biāo)識和用戶鑒別。在每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符標(biāo)識用戶身份，并確

保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性：在每次用戶登錄和重新連接系統(tǒng)時(shí)，采用受安全管理中

心控制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合

機(jī)制進(jìn)行用戶身份鑒別，且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可替代的，并對鑒別數(shù)據(jù)進(jìn)行保密性

和完整性保護(hù)。

b）自主訪問控制

應(yīng)在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限，并能將這些權(quán)限部分或全部

授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄

或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改卻刪除等。

c）標(biāo)記和強(qiáng)制訪問控制

在對安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)匕應(yīng)由安全管理員通過特定操作界面對主、客體進(jìn)行安

全標(biāo)記，將強(qiáng)制訪問控制擴(kuò)展到所有主體與客體：應(yīng)按安全標(biāo)記卻強(qiáng)制訪問控制規(guī)則，對確定主體

訪問客體的操作進(jìn)行控制。強(qiáng)制訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應(yīng)

確保安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問控制規(guī)則。

d）系統(tǒng)安全審計(jì)

應(yīng)記錄系統(tǒng)相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。應(yīng)提供審計(jì)

記錄查詢、分類、分析和存儲保護(hù)：能對特定安全事件進(jìn)行報(bào)警，終止違例進(jìn)程等：確保審計(jì)記錄

不被破壞或非授權(quán)訪問以及防止審計(jì)記錄丟失等。應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨(dú)立處

理的安全事件，提供由授權(quán)主體調(diào)用的接口。

e）用戶數(shù)據(jù)完整性保護(hù)

應(yīng)采用密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被

破壞，且在其受到破壞時(shí)能對重要數(shù)據(jù)進(jìn)行恢復(fù)。

f）用戶數(shù)據(jù)保密性保護(hù)

采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)。

g）客體安全重用

應(yīng)采用具有安全客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這

些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露。

h）程序可信執(zhí)行保護(hù)

應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼

等攻擊，并在檢測到其完整性受到破壞時(shí)采取措施恢復(fù)，例如采用可信計(jì)算等技術(shù)。

8.3.2安全區(qū)域邊界設(shè)計(jì)技術(shù)要求

笫四級安全區(qū)域邊界從以下方面進(jìn)行安全設(shè)計(jì)：

a）區(qū)域邊界訪問控制

應(yīng)在安全區(qū)域邊界設(shè)置自主和強(qiáng)制訪問控制機(jī)制，實(shí)施相應(yīng)的訪問控制策略，對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)

信息進(jìn)行控制，阻止非授權(quán)訪問。

b）區(qū)域邊界包過濾

應(yīng)根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定

是否允許該數(shù)據(jù)包進(jìn)出受保護(hù)的區(qū)域邊界。

c）區(qū)域邊界安全審計(jì)

應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制，通過安全管理中心集中管理，對確認(rèn)的違規(guī)行為及時(shí)報(bào)警并做出相應(yīng)處

置。

d）區(qū)域邊界完整性保護(hù)

應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為，并及時(shí)報(bào)告安全管理中心。

8.3.3安全通信網(wǎng)絡(luò)設(shè)計(jì)吱術(shù)要求

第四級安全通信網(wǎng)絡(luò)從以卜方面進(jìn)行安全設(shè)計(jì)：

a）通信網(wǎng)絡(luò)安全審計(jì)

應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為進(jìn)行報(bào)警，且做出相應(yīng)

處置。

b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)

應(yīng)采用由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)，井在發(fā)現(xiàn)完整性被破

壞時(shí)進(jìn)行恢復(fù)。

c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)

采用由密碼等技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。

d）通信網(wǎng)絡(luò)可信接入保護(hù)

應(yīng)采用由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通

信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法接入。

8.3.4安全管理中心設(shè)計(jì)技術(shù)要求

8.3.4.1系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份管理、系統(tǒng)資源配置、

系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理以及支持管理本地和異地災(zāi)難備份與恢復(fù)等。

應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)

行審計(jì)。

8.3.4.2安全管理

應(yīng)通過安全管理員對系統(tǒng)中的主體、客體進(jìn)行統(tǒng)?標(biāo)記，對主體進(jìn)行授權(quán)，配置?致的安全策略，并

確保標(biāo)記、授權(quán)和安全策略的數(shù)據(jù)完整性。應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或

操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。

8.3.4.3審計(jì)管理

應(yīng)通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略

對審計(jì)記錄進(jìn)行分類：提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對各類審計(jì)記錄進(jìn)行存儲、

管理和查詢等。對審計(jì)記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行及時(shí)處理。

應(yīng)對安全審計(jì)員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作。

8.3.5系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求

8.3.5.1安全保護(hù)部件結(jié)構(gòu)化設(shè)計(jì)技術(shù)耍求

第四級系統(tǒng)安全保護(hù)環(huán)境各安全保護(hù)部件的設(shè)計(jì)應(yīng)基于形式化的安全策略模型。安全保護(hù)部件總劃分

為關(guān)鍵安全保護(hù)部件和非關(guān)鍵安全保護(hù)部件，防止違背安全策略致使敏感信息從關(guān)鍵安全保護(hù)部件流向

非關(guān)鍵安全保護(hù)部件。關(guān)鍵安全保護(hù)部件應(yīng)劃分功能層次，明確定義功能層次間的調(diào)用接口，確保接

口之間的信息安全交換。

8.3.5.2安全保護(hù)部件互聯(lián)結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求

第四級系統(tǒng)各安全保護(hù)部件之間互聯(lián)的接口功能及其調(diào)用關(guān)系應(yīng)明確定義：各安全保護(hù)部件之間互聯(lián)

時(shí)，需要通過可信驗(yàn)證機(jī)制相互驗(yàn)證對方的可信性，確保安全保護(hù)部件間的可信連接。

8.353重要參數(shù)結(jié)構(gòu)化設(shè)il技術(shù)要求

應(yīng)對笫四級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)實(shí)現(xiàn)的與安全策略相關(guān)的重要參數(shù)的數(shù)據(jù)結(jié)構(gòu)給出明確定義，包括

參數(shù)的類型、使用描述以及功能說明等，并用可信驗(yàn)證機(jī)制確保數(shù)據(jù)不被篡改。

9第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)

9.1設(shè)計(jì)目標(biāo)

第五級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：按照GB17859-1999對第五級系統(tǒng)的安全保護(hù)要求，在第四

級系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)匕實(shí)現(xiàn)訪問監(jiān)控器，仲裁主體對客體的訪問，并支持安全管理職能。審計(jì)

機(jī)制可根據(jù)審計(jì)記錄及時(shí)分析發(fā)現(xiàn)安全事件并進(jìn)行報(bào)警，提供系統(tǒng)恢復(fù)機(jī)制，以使系統(tǒng)具有更強(qiáng)的抗

滲透能力。

9.2設(shè)計(jì)策略

第五級系統(tǒng)女全保護(hù)環(huán)境的設(shè)計(jì)策略是：遵循GD17859-1999的4.5中“訪問監(jiān)控器本身是抗篡改的；

必須足夠小，能夠分析和測試在設(shè)計(jì)和實(shí)現(xiàn)訪問監(jiān)控器時(shí)，應(yīng)盡力降低其復(fù)雜性；提供系統(tǒng)恢復(fù)鞏

制：使系統(tǒng)具有更強(qiáng)的抗?jié)B透能力：所設(shè)計(jì)的訪問監(jiān)控蹈能進(jìn)行必要的分析與測試，具有抗篡改能力。

第五級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)通過笫五級的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理

中心的設(shè)計(jì)加以實(shí)現(xiàn)。

9.3設(shè)計(jì)技術(shù)耍求

第五級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)技術(shù)要求另行制定。

10定級系統(tǒng)互聯(lián)設(shè)計(jì)

10.1設(shè)計(jì)目標(biāo)

定級系統(tǒng)互聯(lián)的設(shè)計(jì)目標(biāo)是：對相同或不同等級的定級系統(tǒng)之間的互聯(lián)、互通、互操作進(jìn)行安全保護(hù)，

確保用戶身份的真實(shí)性、操作的安全性以及抗抵賴性，并按安全策略對信息流向進(jìn)行嚴(yán)格控制，確保

進(jìn)出安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)安全。

10.2設(shè)計(jì)策略

定級系統(tǒng)互聯(lián)的設(shè)計(jì)策略是：遵循GB17859-1999對各級系統(tǒng)的安全保護(hù)要求，在各定級系統(tǒng)的計(jì)算

環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全的基礎(chǔ)上，通過安全管理中心增加相應(yīng)的安全互聯(lián)策略，保持

用戶身份、主/客體標(biāo)記、訪問控制策略等安全要素的一致性，對互聯(lián)系統(tǒng)之間的互操作和數(shù)據(jù)交換進(jìn)

行安全保護(hù)。

10.3設(shè)計(jì)技術(shù)要求

10.3.1安全互聯(lián)部件設(shè)計(jì)技術(shù)要求

應(yīng)通過通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級系統(tǒng)安全保護(hù)環(huán)境的安全通信網(wǎng)絡(luò)部件相連接，并按互聯(lián)互通的安

全策略進(jìn)行信息交換，實(shí)現(xiàn)安全互聯(lián)部件。安全策略由踏定級系統(tǒng)安全管理中心實(shí)施。

10.3.2跨定級系統(tǒng)安全管理中心設(shè)計(jì)技術(shù)要求

應(yīng)通過安全通信網(wǎng)絡(luò)部件與各定級系統(tǒng)安全保護(hù)環(huán)境中的安全管理中心相連，主要實(shí)施跨定級系統(tǒng)的

系統(tǒng)管理、安全管理和審計(jì)管理。

10.3.2.1系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對安全互聯(lián)部件與相同和不同等級的定級系統(tǒng)中與安全互聯(lián)相關(guān)的系統(tǒng)資源和運(yùn)行

進(jìn)行配宜和管理，包括用戶身份管理、安全互聯(lián)部件資源配置和管理等。

10.3.2.2安全管理

應(yīng)通過安全管理員對相同和不同等級的定級系統(tǒng)中與安全互段相關(guān)的主/客體進(jìn)行標(biāo)記管理，使其標(biāo)記

能準(zhǔn)確反映主/客體在定級系統(tǒng)中的安全屬性：對主體進(jìn)行授權(quán)，配置統(tǒng)一的安全策略，并確保授權(quán)在

相同和不同等級的定級系統(tǒng)中的合理性。

10.3.2.3審計(jì)管理

應(yīng)通過安全審計(jì)員對安全互聯(lián)部件的安全審計(jì)機(jī)制、各定級系統(tǒng)的安全審計(jì)機(jī)制以及與跨定級系統(tǒng)互

聯(lián)有關(guān)的安全審計(jì)機(jī)制進(jìn)行集中管理。包括根據(jù)安全審計(jì)策略對審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟

和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制：對各類審計(jì)記錄進(jìn)行存儲、管理和查詢等。對審計(jì)記錄應(yīng)進(jìn)行分析，

并根據(jù)分析結(jié)果進(jìn)行及時(shí)處理。

附錄A

（資料性附錄）

訪問控制機(jī)制設(shè)計(jì)

A.1自主訪問控制機(jī)制設(shè)計(jì)

系統(tǒng)在初始配置過程中，安全管理中心首先需要對系統(tǒng)中的主體及客體進(jìn)行登記命名，然后根據(jù)自主

訪問控制安全策略，按照主體對其創(chuàng)建客體的授權(quán)命令，為相關(guān)主體授權(quán)，規(guī)定主體允許訪問的客體和

操作，并形成訪問控制列表。自主訪問控制機(jī)制結(jié)構(gòu)如圖A.1所示。

用戶登錄系統(tǒng)時(shí)，首先進(jìn)行身份鑒別，經(jīng)確認(rèn)為合法的注冊用戶可登錄系統(tǒng)，并執(zhí)行相應(yīng)的程序。當(dāng)執(zhí)行

程序主體發(fā)出訪問系統(tǒng)中客體資源的請求后，自主訪問控制安全機(jī)制將截獲該請求，然后查詢對應(yīng)

訪問控制列表。如果該請求符合自主訪問控制列表規(guī)定的權(quán)限，則允許其執(zhí)行；否則將拒絕執(zhí)行，并

將此行為記錄在審計(jì)記錄中。

A.2強(qiáng)制訪問控制機(jī)制設(shè)計(jì)

系統(tǒng)在初始配置過程中，安全管理中心需要對系統(tǒng)中的確定主體及其所控制的客體實(shí)施身份管理、標(biāo)

記管理.、授權(quán)管理和策略管理。身份管理確定系統(tǒng)中所有合法用戶的身份、工作密鑰、證書等'J安全相

關(guān)的內(nèi)容。標(biāo)記管理根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)合客體資源的重要程度，確定系統(tǒng)中所有客體資源的安

全級別及范疇，生成全局客體安全標(biāo)記列表；同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的安全

級別及范疇，生成全局主體安全標(biāo)記列表。授權(quán)管理根據(jù)業(yè)務(wù)系統(tǒng)需求和安全狀況，授予用戶訪問客

體資源的權(quán)限，生成強(qiáng)制訪問控制策略和級別調(diào)整策略列表。策略管理則根據(jù)業(yè)務(wù)系統(tǒng)的需求，生成與

執(zhí)行主體相關(guān)的策略，包括強(qiáng)制訪問控制策略和級別調(diào)整策略。除此之外，安全審”?員需要通過安全

管理中心制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審計(jì)管理。強(qiáng)制訪問控制機(jī)制結(jié)構(gòu)如圖A.2所示。

系統(tǒng)在初始執(zhí)行時(shí)，首先要求用戶標(biāo)識自己的身份，經(jīng)過系統(tǒng)身份認(rèn)證確認(rèn)為授權(quán)主體后，系統(tǒng)將下

我全局主/客體安全標(biāo)記列表及與該主體對應(yīng)的訪問控制列表，并對其進(jìn)行初始化。當(dāng)執(zhí)行程序主體發(fā)出

訪問系統(tǒng)中客體資源的請求后，系統(tǒng)安全機(jī)制將截獲該請求，并從中取出訪問控制相關(guān)的主體、客體、

操作三要素信息，然后查詢?nèi)种?客體安全標(biāo)記列表，得到主/客體的安全標(biāo)記信息，并依據(jù)強(qiáng)制訪

問控制策略對該請求實(shí)施策略符合性檢查。如果該請求符合系統(tǒng)強(qiáng)制訪問控制策略，則系統(tǒng)將允許該

主體執(zhí)行資源訪問。否則，系統(tǒng)將進(jìn)行級別調(diào)整審核，即依據(jù)級別調(diào)整策略，判斷發(fā)出該請求的主體是否

有權(quán)訪問該客體。如果上述檢查通過，系統(tǒng)同樣允許該主體執(zhí)行資源訪問，否則，該請求將被系統(tǒng)拒絕執(zhí)

行。系統(tǒng)強(qiáng)制訪問控制機(jī)制在執(zhí)行安全策略過程中，需要根據(jù)安全審計(jì)員制定的審計(jì)策略，對用戶的請求

及安全決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)記錄發(fā)送到審計(jì)服務(wù)器存儲，供安全審計(jì)員管理。

附錄B

（資料性附錄）

第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)示例

B.1功能與流程

根據(jù)“一個(gè)中心”管理下的“三重保護(hù)”體系框架，構(gòu)建安全機(jī)制和策略，形成定級系統(tǒng)的安全保護(hù)環(huán)境。

該環(huán)境分為如下四部分：安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。每個(gè)部分由1

個(gè)或若干個(gè)子系統(tǒng)（安全保護(hù)部件）組成，子系統(tǒng)具有安全保護(hù)功能獨(dú)立完整、調(diào)用接口簡潔、與安

全產(chǎn)品相對應(yīng)和易于管理等特征。安全計(jì)算環(huán)境可細(xì)分為節(jié)點(diǎn)子系統(tǒng)和典型應(yīng)用支撐子系統(tǒng)；安全靠理

中心可細(xì)分為系統(tǒng)管理子系統(tǒng)、安全管理子系統(tǒng)和審計(jì)子系統(tǒng)。以上各子系統(tǒng)之間的邏輯關(guān)系如圖B.1

所示。

B.1.1各子系統(tǒng)主要功能

第三級系統(tǒng)安全保護(hù)環(huán)境各r系統(tǒng)的主要功能如下:

a）節(jié)點(diǎn)子系統(tǒng)

節(jié)點(diǎn)子系統(tǒng)通過在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以強(qiáng)制訪問控制為主體的系統(tǒng)安全機(jī)制，形成防護(hù)層，通

過對用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的

保密性和完整性，為典型應(yīng)用支撐上系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。

b）典型應(yīng)用支撐子系統(tǒng)

典型應(yīng)用支撐子系統(tǒng)是系統(tǒng)安全保護(hù)環(huán)境中為應(yīng)用系統(tǒng)提供安全支撐服務(wù)的接口。通過接口平臺使改用系

統(tǒng)的主客體與保護(hù)環(huán)境的主客體相對應(yīng)，達(dá)到訪問控制策略實(shí)現(xiàn)的?致性。

c）區(qū)域邊界子系統(tǒng)

區(qū)域邊界廣系統(tǒng)通過對■進(jìn)入和流出安全保護(hù)環(huán)境的信息流進(jìn)行安全檢查，確保不會有違反系統(tǒng)安全策略的

信息流經(jīng)過邊界。

d）通信網(wǎng)絡(luò)子系統(tǒng)

通信網(wǎng)絡(luò)子系統(tǒng)通過對通信數(shù)據(jù)包的保密性和完整性的保護(hù)，確保其在傳輸過程中不會被非授權(quán)竊聽和篡

改，以保障數(shù)據(jù)在傳輸過程中的安全。

e）系統(tǒng)管理子系統(tǒng)

系統(tǒng)管理子系統(tǒng)負(fù)責(zé)對安全保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，

包括用戶身份管理、資源管理、異常情況處理等。

f）安全管理子系統(tǒng)

安全管理子系統(tǒng)是系統(tǒng)的安全控制中樞，主要實(shí)施標(biāo)記管理、授權(quán)管理及策略管理等。

安全管理了系統(tǒng)通過制定相應(yīng)的系統(tǒng)安全策略，并要求節(jié)點(diǎn);系崎、區(qū)域邊界了?系統(tǒng)和通信網(wǎng)絡(luò)「系統(tǒng)強(qiáng)

制執(zhí)行，從而實(shí)現(xiàn)對整個(gè)信息系統(tǒng)的集中管理。

g）審計(jì)于系統(tǒng)

審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞。安全審計(jì)員通過制定審計(jì)策略，并要求節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通

信網(wǎng)絡(luò)子系統(tǒng)、安全管理了?系統(tǒng)、系統(tǒng)管理子系統(tǒng)強(qiáng)制執(zhí)行，實(shí)現(xiàn)對?整個(gè)信息系統(tǒng)的行為審計(jì)，確

保用戶無法抵賴違反系統(tǒng)安全策略的行為，同時(shí)為應(yīng)急處理提供依據(jù)。

B.1.2各子系統(tǒng)主要流程

第三級系統(tǒng)安全保護(hù)環(huán)境的結(jié)構(gòu)與流程可以分為安全管理流程與訪問控制流程。安全管理流程主要由安全

管理員、系統(tǒng)管理員和安全審計(jì)員通過安全管理中心執(zhí)行，分別實(shí)施系統(tǒng)維護(hù)、安全策略制定和部署、審

計(jì)記錄分析和結(jié)果響應(yīng)等。訪問控制流程則在系統(tǒng)運(yùn)行時(shí)執(zhí)行，實(shí)施自土訪問控制、強(qiáng)制訪問控制筆。

a）策略初始化流程

節(jié)點(diǎn)子系統(tǒng)在運(yùn)行之前，首先由安全管理員、系統(tǒng)管理員和安全審計(jì)員通過安全管理中心為其部署相應(yīng)的

安全策略。其中，系統(tǒng)管理員首先需要為定級系統(tǒng)中的所有用戶實(shí)施身份管理，即確定所有用戶的身份、

工作密鑰、證書等。同時(shí)需要為定級系統(tǒng)實(shí)施資源管理，以確定業(yè)務(wù)系統(tǒng)正常運(yùn)行需要使用的執(zhí)行程序等。

安全管理員需要通過安全管理中心為定級系統(tǒng)中所有主、客體實(shí)施標(biāo)記管理，即根據(jù)業(yè)務(wù)系統(tǒng)的需要，結(jié)

合客體資源的重要程度，確定其安全級，生成全局客體安全標(biāo)記列表。同時(shí)根據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限

和角色確定其安全標(biāo)記，牛.成全局主體安全標(biāo)記列表。在此基礎(chǔ)上，安全管理員需要根據(jù)系統(tǒng)需求和安全

狀況，為主體實(shí)施授權(quán)管埋，即授予用戶訪問客體資源的權(quán)限，生成強(qiáng)制訪問控制列表和級別倜整策略列

表。除此之外，安全審計(jì)員需要通過安全管理中心中的審計(jì)子系統(tǒng)制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審核管

理。如果定級系統(tǒng)需要和其它系統(tǒng)進(jìn)行互聯(lián)，則上述初始化流程需要結(jié)合跨定級系統(tǒng)安全管理中心制定的

策略執(zhí)行。

b）計(jì)算節(jié)點(diǎn)啟動流程

策略初始化完成后，授權(quán)用戶才可以啟動并使用計(jì)算節(jié)點(diǎn)訪問定級系統(tǒng)中的客體資源。為r確保計(jì)算節(jié)點(diǎn)

的系統(tǒng)完整性，節(jié).點(diǎn)子系統(tǒng)在啟動時(shí)需要對所裝載的可執(zhí)行代碼進(jìn)行可信驗(yàn)證，確保其在可執(zhí)行代

碼預(yù)期值列表中，并且程序完整性沒有遭到破壞。計(jì)算節(jié)點(diǎn)自動后，用戶便可以安全地登錄系統(tǒng)。在

此過程中，系統(tǒng)首先裝載代表用戶身份唯一標(biāo)識的硬件令牌，然后獲取其中的用戶信息，進(jìn)而驗(yàn)證登錄

用戶是否是該節(jié)點(diǎn)上的授權(quán)用戶。如果檢查通過，系統(tǒng)將請求策略服務(wù)器下載與該用戶相關(guān)的系統(tǒng)安

全策略。下載成功后，系統(tǒng)可信計(jì)算熨將確定執(zhí)行主體的數(shù)據(jù)結(jié)構(gòu)，并初始化用戶工作空間。此后，該

用戶便可以通過啟動應(yīng)用訪問定級系統(tǒng)中的客體資源。

C）計(jì)尊節(jié)點(diǎn)訪問控制流程

用戶啟動應(yīng)用形成執(zhí)行主體后，執(zhí)行主體將代表用戶發(fā)出訪問本地或網(wǎng)絡(luò)資源的請求，該請求將被操作系

統(tǒng)訪問控制模塊被獲。訪問控制模塊首先依據(jù)自主訪問控制策略對其執(zhí)行策略符合性檢查。如果自

主訪問控制策略符合性檢查通過，則該請求允許被執(zhí)行：否則，訪問控制模塊依據(jù)強(qiáng)制訪問控制策略

對該請求執(zhí)行策略符合性檢查。如果強(qiáng)制訪問策略符合性檢查通過，那么該請求允許被執(zhí)行：否則，系

統(tǒng)對其進(jìn)行級別調(diào)整檢查。即依照級別調(diào)整檢查策略，判斷發(fā)出該請求的主體是否有權(quán)訪問該客體。

如果通過，該請求同樣允許被執(zhí)行：

否則，該請求被拒絕執(zhí)行。

系統(tǒng)訪問控制機(jī)制在安全決策過程中，需要根據(jù)安全審計(jì)員制定的審計(jì)策略，對用戶的請求及決策結(jié)果進(jìn)

行審計(jì)，并且將生成的審計(jì)記錄發(fā)送到審計(jì)服務(wù)器存儲，供安全審計(jì)員檢查和處理。

d）跨計(jì)算節(jié)點(diǎn)訪問控制流程

如果主體和其所請求訪問的客體資源不在同一個(gè)計(jì)算節(jié)點(diǎn)，則該請求會被可信接入模塊截獲，用來判斷該

請求是否會破壞系統(tǒng)安全。在進(jìn)行接入檢查前，模塊首先通知系統(tǒng)安全代理獲取對方計(jì)算節(jié)點(diǎn)的身

份，并檢驗(yàn)其安全性。如果檢驗(yàn)結(jié)果是不安全的，則系統(tǒng)拒絕該請求；否則，系統(tǒng)將依據(jù)強(qiáng)制訪問控

制策略，判斷該主體是否允許訪問相應(yīng)端口。如果檢查通過，該請求被放行：否則，該請求被拒絕。

e）跨邊界訪問控制流程

如果主體和其所請求訪問的客體資源不在同一個(gè)安全保護(hù)環(huán)境內(nèi)，那么該請求將會被區(qū)域邊界控制設(shè)備截

獲并且進(jìn)行安全性檢查，檢查過程類似于跨計(jì)算節(jié)點(diǎn)訪問控制流程。

B.2子系統(tǒng)間接口

B.2.1綜述

為了清楚描述各子系統(tǒng)之間的關(guān)系，圖B.2給出了子系統(tǒng)間的接口關(guān)系。

典型應(yīng)用支撐:系統(tǒng)與節(jié)點(diǎn)子系統(tǒng)之間通過系統(tǒng)調(diào)用接口。其它「系統(tǒng)之間則通過可靠的網(wǎng)絡(luò)傳輸協(xié)

議，按照規(guī)定的接口協(xié)議傳輸策略數(shù)據(jù)、審計(jì)數(shù)據(jù)以及其他安全保護(hù)環(huán)境數(shù)據(jù)等。由于不同子系統(tǒng)之間

需要交換各種類型的數(shù)據(jù)包，因此需要明確定義子系統(tǒng)間的接口協(xié)議并規(guī)范傳輸數(shù)據(jù)包格式，使得各

子系統(tǒng)之間能透明交互，實(shí)現(xiàn)相應(yīng)數(shù)據(jù)的交換。數(shù)據(jù)包的標(biāo)準(zhǔn)格式如表B.1所示。

數(shù)據(jù)包由包頭、附加項(xiàng)和數(shù)據(jù)內(nèi)容三部分組成，其中包頭為32字節(jié)，定義了標(biāo)志、版本號、接口類型、

標(biāo)記位以及內(nèi)容和附加項(xiàng)長度等。內(nèi)容和附加項(xiàng)長度不定。數(shù)掙包各數(shù)據(jù)項(xiàng)說明如卜：

標(biāo)志（4字節(jié)）：用于標(biāo)識等級保護(hù)相關(guān)的數(shù)據(jù)流，此標(biāo)志可以作為區(qū)別等級保護(hù)數(shù)據(jù)包的依據(jù)。

版本號（4字節(jié)）：表示該接口協(xié)議的版本號。其中前兩個(gè)字節(jié)表示主版本號。

接口類型（4字節(jié)）：表示本數(shù)據(jù)包的對應(yīng)接口類型編號。

標(biāo)記位（4字節(jié)）：表述數(shù)據(jù)包屬性標(biāo)忐，如表B.2所示。

BRO：表示數(shù)據(jù)包發(fā)送對象地址尚未確定，需要以廣播方式發(fā)送或發(fā)送給查詢服務(wù)器。

SIG：表示數(shù)據(jù)包是否有簽名保護(hù)，。為無簽名，1為有簽名。如具有簽名保護(hù)，簽名信息在附加項(xiàng)中。

CHK：表示數(shù)據(jù)包是否需要校驗(yàn)，0為不校驗(yàn)，1為校驗(yàn)。如果需要校驗(yàn)，校驗(yàn)碼在附加項(xiàng)中存放。

內(nèi)容長度（4字節(jié)）：表示數(shù)據(jù)包內(nèi)容部分長度，以字節(jié)為單位。

附加項(xiàng)長度（4字節(jié)）：表示所有附加項(xiàng)長度之和，以字節(jié)為單位。

保留（8字節(jié)）：作為數(shù)據(jù)包擴(kuò)展保留。

數(shù)據(jù)內(nèi)容：數(shù)據(jù)包傳輸?shù)木唧w內(nèi)容，其格式與數(shù)據(jù)包類型相關(guān)，長度不定。

附加項(xiàng)類型（4字節(jié)）：表示附加項(xiàng)的類型。

附加項(xiàng)內(nèi)容：數(shù)據(jù)包傳輸?shù)母郊觾?nèi)容，其格式可附加項(xiàng)類型相關(guān)，長度不定。

下面按照接口對應(yīng)的數(shù)據(jù)包類型介紹數(shù)據(jù)內(nèi)容部分，表格中不含包頭和附加項(xiàng)。

B.2.2接口1

功能：節(jié)點(diǎn)（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向安全管理子系統(tǒng)請求下載策略。

類型：請求數(shù)據(jù)包。

描述：計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備啟動時(shí)，向安全管理f系統(tǒng)請求下載策略，

該接口為節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)到安全管理子系統(tǒng)之間的接口。

客戶端向服務(wù)器發(fā)起TCP連接，發(fā)出的請求數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.3所示。

B.2.3接口2

功能：安全管理子系統(tǒng)向節(jié)點(diǎn)（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)返回與請求主體相關(guān)的策略。

類型：策略下發(fā)數(shù)據(jù)包。

描述：安全管理中心接到下載策略請求后，向計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備發(fā)送安全策略。

安全管理子系統(tǒng)策略下發(fā)數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.4所示。

B.2.4接口3

功能：節(jié)點(diǎn)（區(qū)域邊界、通信網(wǎng)絡(luò)）『系統(tǒng)向?qū)徲?jì)服務(wù)器發(fā)送審計(jì)記錄。

類型：審計(jì)記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式。

描述：計(jì)穿節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備向?qū)徲?jì)子系統(tǒng)發(fā)送審計(jì)記錄,

所發(fā)送的審計(jì)記錄數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.5所示。

B.2.5接口4

功能：節(jié)點(diǎn)子系統(tǒng)之間的接入可信性驗(yàn)證。

類型：可信接入申請包、可信接入應(yīng)答包、可信接入確認(rèn)包。

描述：節(jié)點(diǎn)子系統(tǒng)之間的接口主要實(shí)現(xiàn)可信接入?？尚沤尤胧窃趫?zhí)行跨節(jié)點(diǎn)間訪問時(shí)，客體所在節(jié)點(diǎn)

驗(yàn)證主體所在節(jié)點(diǎn)可信性的過程?？尚沤尤胄枰絽f(xié)議執(zhí)行。首先是訪問發(fā)起方所在節(jié)點(diǎn)向訪問應(yīng)答

方所在節(jié)點(diǎn)提出可信接入申請包，應(yīng)答方所在節(jié)點(diǎn)驗(yàn)證申請包后向發(fā)起方所在節(jié)點(diǎn)發(fā)送可信接入應(yīng)答

包，由發(fā)起方所在節(jié)點(diǎn)驗(yàn)證應(yīng)答包成功后，返回可信接入確認(rèn)包,

可信接入申請包格式如表B.6所示。

可信接入應(yīng)答包格式如表B.7所示。

可信接入確認(rèn)包數(shù)據(jù)內(nèi)容格式和可信接入應(yīng)答包內(nèi)容格式相同，具體區(qū)別在于附加項(xiàng)。

B.3重要數(shù)據(jù)結(jié)構(gòu)

B.3.1重要數(shù)據(jù)結(jié)構(gòu)列表

第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)的重要數(shù)據(jù)結(jié)構(gòu)如表B.8所示。

B.3.2用戶身份信息列表

typedefstructtagUser_lnfo

(

BYTE*Roo